SSL 相關的測試工具

SSL 相關的測試工具

這篇文章主要說明幾個SSL 的測試工具。Https (TLS/SSL)被應用在

網路服務的加密、驗證與資料完整性的安全傳輸協定。

但是 2014/2015陸續找出許多相關的SSL漏洞,造成 HTTPS不再是安全的傳輸協定。

因此,驗證正確的 HTTPS設定是必要的。這篇文章說明幾種驗證與測試 HTTPS的工具。

 

SSL 手動測試工具

  • nmap –script “ssl*” <IP address>
  • sslcaudit
  • ssldump
  • sslscan (推薦)
  • sslsniff
  • O-Saft (推薦)
  • sslsplit
  • sslstrip
  • sslyze (推薦)
  • tlssled
  • TestSSLServer (推薦)

O-Saft

這是 OWASP 中的其中一個專案。用 Perl 寫成,主要也是用來測試 SSL 相關的弱點。

https://www.owasp.org/index.php/O-Saft

執行上

perl   ./o-saft.pl   <hostname>

sslyze

這是一個 python的程式,也可以針對hostname 進行分析。

sslyze –regular www.example.com

 

TestSSLServer

http://www.bolet.org/TestSSLServer/

 java -jar TestSSLServer.jar HostName  443

這個工具結果可以告知三件事情

  • 加密的密碼強度是否會太弱? ” minimal encryption strength
  • “BEAST status” 是否會遭受 BREAST攻擊
  • CRIME status” 是否會遭受 CRIME攻擊

SSLScan

這是另一個全自動掃描的相關 SSL 弱點的工具。內建在 Kali Linux 中。

或是可以透過apt-get 安裝

sudo apt-get install sslscan

http://sourceforge.net/projects/sslscan/

掃描也很直覺,只要執行下列指令就會開始自動掃描SSL 相關設定與風險。

sslScan    <hostNAME or IP>

另外 SSLScan Windows 版本可以參考如下

https://code.google.com/p/sslscan-win/downloads/list

https://github.com/rbsec/sslscan/releases

NMAP

NMAP 有許多相關的 scripts 可以用來測試 SSL 的設定與版本是否安全。

用NMAP檢查加密演算法強度

nmap --script ssl-enum-ciphers -p 443 example.com

用NMAP檢查是否有 HeartBleed風險

nmap -p 443 --script ssl-heartbleed --script-args vulns.showall example.com

NMAP SSL HeartBleed Verify

相關參考

http://www.contextis.com/resources/blog/manually-testing-ssltls-weaknesses/

http://www.bolet.org/TestSSLServer/

https://www.owasp.org/index.php/Testing_for_SSL-TLS_(OWASP-CM-001)

https://www.owasp.org/index.php/Testing_for_Weak_SSL/TLS_Ciphers,_Insufficient_Transport_Layer_Protection_(OTG-CRYPST-001)#Example_2._SSL_service_recognition_via_nmap

Leave a Reply

Your email address will not be published.